数据库运维最佳实践

数据库作为企业的核心业务,其运维操作是安全管控的重点。堡垒机企业双擎版支持对MySQL、SQL Server、PostgreSQL类型的RDS和MySQL、PostgreSQL、PostgreSQL(兼容Oracle)的PolarDB以及MySQL、SQL Server、PostgreSQL、Oracle类型的自建数据库进行运维和审计。本文介绍如何通过堡垒机进行数据库运维。

背景信息

企业资产中,除了Windows服务器、Linux服务器外,还有大量的数据库资产。数据库作为核心业务资产包含大量敏感信息,如何保证运维安全、防止越权访问、违规操作等更是企业的重点关注需求。

数据库业务比较多样化,有云原生数据库如RDS、以及自建数据库,并包含MySQL、SQL Server、PostgreSQL、Oracle多种类型,且很多大型企业数据库业务也通常会分布在多跨账号、跨VPC以及线下IDC或异构云等混合场景下,那么如何实现对如上混合场景的统一运维管控、方便运维安全团队的集中管理也是堡垒机的重点。

阿里云堡垒机企业双擎版支持Windows服务器、Linux服务器以及数据库的运维管控,针对多种类型数据库均可实现运维权限划分及事后审计追溯,最大化保证数据库运维安全。另外还提供混合场景运维能力,通过网络域运维能力将跨账号、线下IDC、异构云混合场景下的资产进行统一平台接入,便于安全团队的一站式管控。

同时,企业双擎版具有可靠底层架构保障,双引擎部署,双活架构运行,对于数据库的运维高要求操作提供更稳定的业务保障。详细信息,请参见功能特性

数据库运维

数据库运维流程

使用堡垒机进行数据库运维时,管理员先通过堡垒机对资产进行管理,以及运维人员进行权限划分。运维人员再通过客户端或者命令行建立到堡垒机的SSH隧道,在堡垒机管控下登录数据库资产进行运维。

流程

前提条件

  • 在本地主机安装支持SSH隧道的数据库运维工具,例如DBeaver、DbVisualizer、NavicatPremium、NavicatForMysql等。详细信息,请参见客户端远程连接工具及版本推荐

  • 已将数据库资产导入到堡垒机。具体操作,请参见数据库管理

  • 已获取堡垒机运维地址。您可以在堡垒机概览页面的堡垒机实例信息区域获取运维地址。具体操作,请参见堡垒机页面概览概览

    说明

    堡垒机提供固定的域名模式运维地址,同时使用动态IP以确保安全不易被攻击。运维地址解析出的IP可能会发生变化,请您使用堡垒机分配的域名地址进行运维,避免因IP变化而无法运维。

步骤一:授权数据库资产

堡垒机通过配置资产授权,细粒度划分用户访问权限,防止数据库的越权访问,严格管控运维人员可访问的资产、账号。具体操作步骤如下:

  1. 登录堡垒机系统。具体操作,请参见登录系统

  2. 在左侧导航栏选择人员管理 > 用户

  3. 用户页面的用户列表中,单击目标用户操作列的授权数据库

    支持建立资产组并添加多个资产。为用户授权资产组,请参见数据库管理管理授权规则

  4. 在用户详情页面,单击授权数据库,在授权数据库面板,选中要为该用户授权的数据库,单击确定

  5. 数据库授权完成后,在数据库列表中,单击已授权数据库已授权账户列的无已授权账户,点击授权账户,在选择账户面板,为该用户选择要授权的数据库账户,单击更新

步骤二:获取数据库运维令牌

运维人员可开启SSH隧道,使用运维令牌进行运维审计。获取数据库运维令牌的具体操作,请参见获取运维令牌

说明
  • 登录运维门户获取运维令牌时,如果当前数据库账户未在堡垒机上托管,则需要在运维令牌对话框配置数据库账户的基本信息后,才能获取运维令牌。关于新建数据库账户的更多信息,请参见管理数据库账户

  • 运维令牌需要在有效期内使用,管理员可以在堡垒机设置令牌有效期。若开启运维审批,则以管理员审批通过时设置的有效期为准。

  • 如果管理员设置允许运维员自主续期,则令牌过期前,运维员可以自主为令牌续期,过期之后需要重新申请令牌。若已开启运维审批,则运维员不可进行续期。运维令牌配置修改后需要重新申请或更新令牌才可生效。

  • 若令牌在有效期内但运维连接失败,可能为运维并发已达到上限,请联系管理员升配堡垒机规格或释放空闲连接;或管理员限制了该来源IP和时间段导致无法运维,请联系管理员解除限制。

  • 审计记录的运维用户信息为申请令牌的用户,与客户端中所填用户名和资产账户无关。

步骤三:通过客户端工具或者命令行建立SSH隧道

阿里云堡垒机可通过2种运维方式对数据库进行运维管控,运维人员可以通过客户端工具或命令行方式开启SSH隧道,使用运维令牌进行运维审计。具体操作,请参见数据库运维。以下以客户端工具为例介绍运维流程:

  1. 打开Navicat Premium工具,新建PostgreSQL连接。

    常规页签,配置连接名称和数据库资产的信息,包括主机、用户名、密码等。

    下表介绍主要配置项。

    配置项

    说明

    主机

    数据库资产地址。

    用户名

    需要运维的数据库资产账户登录名称。

    密码

    如果管理员已在堡垒机中托管了数据库账户密码,则密码处可留空;如果管理员未在堡垒机中托管数据库账户密码,则密码处需填写数据库账户的登录密码。

    说明 建议您勾选保存密码,如果未勾选,客户端可能会要求您填写账户密码,您可以将运维令牌填写在密码处。
    常规页签

    SSH页签,配置运维的基础信息,包括使用SSH通道、主机、端口、用户名、密码等信息。配置完成后,单击确定

    下表介绍主要配置项。

    配置项

    说明

    使用SSH通道

    勾选使用SSH通道

    主机

    堡垒机运维地址。

    端口

    堡垒机SSH运维端口。默认为60022。

    用户名

    运维员登录堡垒机的用户名称。

    密码

    填写步骤二:获取数据库运维令牌获取的运维令牌。

    说明 建议您勾选保存密码,如果未勾选,客户端可能会要求您填写账户密码,您可以将运维令牌填写在密码处。
    SSH页签
  2. 在Navicat Premium工具中,双击新创建的数据库连接,登录数据库资产进行运维。

步骤四:数据库运维审计

运维人员通过堡垒机进入数据库资产之后,堡垒机可对运维人员的操作进行审计,包括会话审计、实时监控、操作日志等,实现事后追溯。

  1. 登录堡垒机系统。具体操作,请参见登录系统

  2. 在左侧导航栏,选择运维审计 > 会话审计

  3. 会话审计页面,查看会话记录。

    日志

数据库运维操作演示